翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Connector for SCEP VPC エンドポイント (AWS PrivateLink)
インターフェイス VPC エンドポイントを設定することで、VPC と Connector for SCEP の間にプライベート接続を作成できます。インターフェイスエンドポイントは[AWS PrivateLink](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-privatelink.html)、Connector for SCEP API オペレーションにプライベートにアクセスするためのテクノロジーである を利用しています。 は、Amazon ネットワークを介して VPC と Connector for SCEP 間のすべてのネットワークトラフィックを AWS PrivateLink ルーティングし、オープンインターネットでの露出を回避します。各 VPC エンドポイントは、VPC サブネット内の 1 つ以上の [Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) とプライベート IP アドレスで表されます。
インターフェイス VPC エンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、または Direct Connect 接続なしで、VPC を Connector for SCEP に直接接続します。VPC 内のインスタンスは、Connector for SCEP API と通信するためにパブリック IP アドレスを必要としません。
VPC 経由で Connector for SCEP を使用するには、VPC 内にあるインスタンスから接続する必要があります。または、 AWS Virtual Private Network (Site-to-Site VPN) または を使用して、プライベートネットワークを VPC に接続することもできます Direct Connect。詳細については Site-to-Site VPN、*「Amazon VPC ユーザーガイド*」の[「VPN 接続](https://docs.aws.amazon.com/vpc/latest/userguide/vpn-connections.html)」を参照してください。 Direct Connectの詳細については、*Direct Connect ユーザーガイド*の「[コネクションの作成](https://docs.aws.amazon.com/directconnect/latest/UserGuide/dedicated_connection.html#create-connection)」を参照してください。
Connector for SCEP は を使用する必要はありませんが AWS PrivateLink、追加のセキュリティレイヤーとしてお勧めします。 AWS PrivateLink および VPC エンドポイントの詳細については、「 [を介したサービスへのアクセス AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/userguide/privatelink-access-aws-services.html)」を参照してください。
## Connector for SCEP VPC エンドポイントに関する考慮事項
Connector for SCEP のインターフェイス VPC エンドポイントを設定する前に、次の考慮事項に注意してください。
+ Connector for SCEP は、一部のアベイラビリティーゾーンで VPC エンドポイントをサポートしていない場合があります。VPC エンドポイントを作成するときは、まず管理コンソールでサポートを確認してください。サポートされていないアベイラビリティーゾーンには「このアベイラビリティーゾーンではサポートされていないサービス」とマークされます。
+ VPC エンドポイントはクロスリージョンリクエストをサポートしていません。コネクタを作成するリージョンと同じリージョンにエンドポイントを作成してください。
+ VPC エンドポイントでは、Amazon Route 53 を介して Amazon 提供の DNS のみがサポートされています。独自の DNS を使用したい場合は、条件付き DNS 転送を使用できます。詳細については、*Amazon VPC ユーザーガイド* の [DHCP Options Sets](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_DHCP_Options.html) を参照してください。
+ VPC エンドポイントにアタッチされたセキュリティグループでは、VPC のプライベートサブネットから、ポート 443 で着信接続を許可する必要があります。
## Connector for SCEP の VPC エンドポイントの作成
Connector for SCEP サービスの VPC エンドポイントは、[https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) の VPC コンソールまたは を使用して作成できます AWS Command Line Interface。詳細については、*「Amazon VPC ユーザーガイド*[」の「インターフェイスエンドポイントの作成](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint)」の手順を参照してください。Connector for SCEP は、VPC 内のすべての API オペレーションへの呼び出しをサポートしています。
エンドポイントを作成するときは、サービス名`com.amazonaws.{{region}}.pca-connector-scep`として を指定します。
エンドポイントのプライベート DNS ホスト名を有効にしている場合、デフォルトの Connector for SCEP エンドポイントが VPC エンドポイントに解決されるようになりました。デフォルトのサービスエンドポイントの詳しい一覧については、「[サービスエンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html)」を参照してください。
プライベート DNS ホスト名を有効にしていない場合、Amazon VPC は次の形式で使用できる DNS エンドポイント名を提供します。
```
{{vpc-endpoint-id}}.pca-connector-scep.{{region}}.vpce.amazonaws.com
```
詳細については、*「Amazon* [VPC ユーザーガイド」の「VPC エンドポイント (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)」を参照してください。
## Connector for SCEP の VPC エンドポイントポリシーを作成する
Connector for SCEP の Amazon VPC エンドポイントのポリシーを作成して、以下を指定できます。
+ アクションを実行できるプリンシパル
+ 実行可能なアクション
+ アクションを実行できるリソース
詳細については、[「Amazon VPC ガイド」の「VPC エンドポイントによるサービスへのアクセスの制御](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。 **
**例 – Connector for SCEP アクションの VPC エンドポイントポリシー**
エンドポイントにアタッチすると、次のポリシーにより、すべてのプリンシパルに、指定されたコネクタリソースに対する一覧表示された Connector for SCEP アクションへのアクセスが許可されます。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"pca-connector-scep:GetConnector",
"pca-connector-scep:ListConnectors"
],
"Resource": "arn:aws:pca-connector-scep:{{region}}:{{account}}:connector/{{connector-id}}"
}
]
}
```
## Connector for SCEP 登録オペレーション用の VPC エンドポイントの作成
Connector for SCEP は、 `GetCACaps`や などの登録オペレーション用に個別の VPC エンドポイントサービスを提供します`PKIOperation`。
登録エンドポイントを作成するときは、サービス名`com.amazonaws.{{region}}.pca-connector-scep.enroll`として を指定します。
コネクタを作成するときは、オプションで を指定`VpcEndpointId`して、その特定の VPC エンドポイントを介してのみコネクタにアクセスできるように制限できます。
プライベート DNS ホスト名を有効にしていない場合、Amazon VPC は次の形式で使用できる DNS エンドポイント名を提供します。
```
{{vpc-endpoint-id}}.enroll.pca-connector-scep.{{region}}.vpce.amazonaws.com
```
**注記**
コネクタにアクセスするには、VPC エンドポイント DNS 名ではなく、コネクタの詳細に含まれるエンドポイント URL を直接使用する必要があります。ただし、コネクタエンドポイント URL の DNS 名部分は、AZ 固有の DNS 名など、有効な VPC エンドポイント DNS 名に置き換えることができます。
たとえば、AZ 固有の DNS 名を使用するには、
```
https://{{vpc-endpoint-id}}.enroll.pca-connector-scep.{{region}}.vpce.amazonaws.com/{{account-id}}-{{connector-id}}/{{UUID}}
```
デプロイに
```
https://{{vpc-endpoint-id}}-{{availability-zone}}.enroll.pca-connector-scep.{{region}}.vpce.amazonaws.com/{{account-id}}-{{connector-id}}/{{UUID}}
```
**例 – Connector for SCEP 登録オペレーションの VPC エンドポイントポリシー**
VPC エンドポイントポリシーをアタッチして、登録オペレーションへのアクセスを制御できます。エンドポイントにアタッチすると、次のポリシーはすべてのプリンシパルに `GetCACaps`および `PKIOperation`オペレーションへのアクセスを許可します。スタンザのリソースはコネクタです。
SCEP 登録オペレーション用のコネクタは SigV4 で認証されません。このため、IAM プリンシパルに関連付けられず、VPC エンドポイントポリシーによって匿名と見なされます。そのため、VPC エンドポイントポリシーでは、これらのアクションのすべてのプリンシパルを許可する必要があります。
```
{
"Statement": [
{
"Principal": "*",
"Effect": "Allow",
"Action": [
"pca-connector-scep:GetCACaps",
"pca-connector-scep:GetCACert",
"pca-connector-scep:PKIOperation"
],
"Resource": [
arn:{{aws}}:pca-connector-scep:{{us-east-1}}:{{111122223333}}:connector/{{11223344-1234-1122-2233-112233445566}}
]
}
]
}
```